Swipe to the left

Einfach sicher – Teil2

Einfach sicher – Teil2

In unserer Service-Rubrik halten wir Sie über aktuelle IT-Sicherheitsthemen auf dem Laufenden. Heute geht es um „Angriffsvektoren und Malvertising“, präsentiert von Jan van der Meulen, Chief Technology Officer bei VIDEOR.


Das „Open Web Application Security Project“ (OWASP, www.owasp.org) veröffentlich jedes Jahr eine Liste der „Top 10 Application Security Risks“. Die Risikobewertung einer Angriffsmethode berechnet sich aus der Anwendbarkeit der Schwachstelle (je leichter eine Methode anwendbar ist, desto gefährlicher ist sie) und dem Schaden, den ein Angriff in der Regel anrichten kann. Der mögliche Schaden ist stark abhängig von der Applikation (dem Gerät) an sich und dessen Funktion im Gesamtsystem.


Wenn ein System z. B. eine Datenbank mit Kreditkarteninformationen enthält, dann ist der potenzielle Schaden einer „SQL Injection“, mittels derer es gelingt, die Kreditkarteninformationen auszulesen, enorm. In anderen Fällen könnte es einem Angreifer eventuell „nur“ gelingen, ein Gerät abstürzen zu lassen, aber auch dieses Szenario ist für eine Sicherheitsanlage kritisch.


Andere Lücken lassen z. B. die Übernahme eines Admin-Accounts zu, wodurch ein Angreifer ein Gerät derart manipulieren kann, dass es für den rechtmäßigen Nutzer unbrauchbar ist und so sicherheitsrelevante Informationen nach außen gelangen. Kritischer ist es wiederum, wenn es einem Angreifer gelingt, ein System auf Betriebssystemebene zu übernehmen. In diesem Fall bildet das System fortan einen Brückenkopf in das Kundennetzwerk und kann für alle möglichen Aufgaben missbraucht werden. Die folgende Liste stellt die laut OWASP derzeit fünf gefährlichsten Angriffsvektoren in aufsteigender Reihenfolge kurz vor.


Platz 5: Security Misconfiguration
Ein Gerät besteht aus sehr vielen Komponenten, die von unterschiedlichen Entwicklergruppen stammen. Meist handelt es sich um Open-Source-Projekte. In der Regel sind diese Systeme sehr gut getestet und bieten viele Möglichkeiten, die Sicherheit der einzelnen Komponenten über Konfigurationsdateien zu verbessern. Leider wird häufig nicht genug Zeit in die Optimierung der Einstellungen investiert, und so bieten Systeme unnötige Angriffsvektoren, die durch einfache Optimierungen der Konfiguration des Webservers oder des Skriptinterpreters hätten vermieden werden können.


Platz 4: Broken Access Control
Üblicherweise kann man in allen Geräten verschiedene Benutzergruppen verwenden (Admin, Operator, Viewer etc.). Aus Sicht des Benutzers verschwinden dann in der Navigation der Webseite gewisse Einträge oder einige Buttons können nicht mehr verwendet werden. Oft passiert es aber, dass diese Benutzergruppen nur einen optischen Effekt haben, im Hintergrund kann man aber dennoch sämtliche Funktionen mit beliebigen Benutzern – oder auch gänzlich ohne einen gültigen Benutzer – verwenden.


Platz 3: Cross-Site Scripting (XSS)
Dieser Angriff wird häufig in Verbindung mit „Malvertising“ eingesetzt. Durch in eine Webseite eingebetteten Schadcode gelingt es, Informationen über den Inhalt weiterer Browsertals oder
alte „Sessions“ (Cookies) zu bekommen. Diesen Informationen können dann genutzt werden, um Systeme im lokalen Netzwerk zu manipulieren.


Platz 2: Broken Authentication and Session Management
Oft werden, statt bewährter Bibliotheken, für das Management von Benutzersitzungen und die Authentifizierung vom Hersteller eigene Systeme entwickelt, die vermeintlich besser geeignet und leichter anzuwenden sind für die eigene Applikation. Durch unzureichendes Verständnis über die Details der Verfahrensweise können angreifbare Implementierungen entstehen. In diesem Fall könnte es einem Angreifer gelingen, z. B. mit Adminrechten Kommandos auf einem Gerät auszuführen.


Platz 1: Injection
Der Injection-Angriff nutzt die Tatsache aus, dass der Benutzer im Webinterface gewisse Aktionen ausführen kann. Damit dies möglich ist, sendet der Browser ein Kommando an den Webserver, damit dieser die Aktion ausführt im System (z. B. das Ändern der IP-Adresse des Gerätes). Wenn diese Kommandos vom Server nicht ausreichend geprüft werden, kann es einem Angreifer im schlimmsten Fall gelingen, beliebige Kommandos auf der „Kommandozeile“ des Betriebssystems auszuführen, was zu einer schnellen Übernahme des Gerätes führen kann.

18. Januar 2018 | Kategorien: Security